[sfschiller]

soeben auf heise Security:

Zitat

Der Hersteller Sun meldet fünf kritische Sicherheitslücken in älteren Versionen seiner Java-Laufzeitumgebung (Java Run-Time Environment, JRE), mit der untrusted Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen können. Eine präparierte Seite kann auf diese Weise den Rechner mit Schadcode infizieren, sofern Suns Java installiert ist. Anwender sollten ihre Version überprüfen und gegebenenfalls aktualisieren.
Drei der Fehler (Bug-IDs 6263857, 6277266 und 6277659) treten bei Verwendung so genannter Reflection APIs auf, ein weiterer Fehler (Bug 6268876) steckt in den Java Management Extensions (JMX). Ein anderer Fehler (6243400) scheint allgemeinerer Natur zu sein. Sun macht zu den Schwachstellen aber keine weiteren Angaben. Die Fehler sind über diverse Versionen der JRE, JDK und SDK verteilt und finden sich sowohl unter Windows und Solaris als auch Linux. Betroffen sind:

BugID 6243400: JDK/JRE 5.0 Update 3
BugID 6268876: JDK/JRE 5.0 Update 3
BugID 6263857: SDK/JRE 1.3.1_15, 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277266: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277659: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
(jeweils einschließlich dieser und den vorhergehenden Versionen)

http://www.heise.de/...s/meldung/66770

[Rika]

Hat wer was anderes erwartet? Sun konzentriert sich zu sehr auf den neuen Verifier von Java 6.
Aber das mit den Reflections ist schon lustig, da man ja gar keinen Zugrff darauf haben sollte...